Hoy os traemos un pequeño manual para instalar ACME en pfSense y solicitar certificados para usarlos en la interfaz WEB, recuerda que recomendamos tener la interfaz WEB capada y solo accesible desde la IP publica de gestion.

Instalar Acme En Pfsense

Primeramente, ¿Qué es ACME?

ACME es un protocolo automatizado para la emisión de certificados SSL (Secure Socket Layer) y TLS (Transport Layer Security). Es ampliamente utilizado para automatizar el proceso de emisión y renovación de certificados, lo que elimina la necesidad de realizar este proceso manualmente. En pfSense es un paquete que se puede instalar y configurar desde la interfaz web del firewall para obtener y renovar certificados SSL/TLS de forma automatizada, esto es importante porque permite tener una conexión segura en el servicio web de pfsense, permitiendo una mayor seguridad en la conexión de los usuarios.

Para instalar ACME en pfSense y solicitar un certificado SSL, sigue estos pasos:

  1. Inicia sesión en la interfaz web de pfSense como administrador.
  2. Ahora vamos a «System» y luego en «Package Manager».
  3. Damos en «Available Packages» y busca «ACME».
  4. Haz clic en «Install» para instalar el paquete ACME.
  5. Una vez instalado, haz clic en «Services» y luego en «ACME».
  6. Haz clic en «Accounts» y luego en «Add».
  7. Ingresa la información de tu cuenta de correo electrónico y luego haz clic en «Save».
  8. Haz clic en «Certificates» y luego en «Add».
  9. Ingresa la información del dominio para el cual deseas solicitar un certificado y luego haz clic en «Save».
  10. Haz clic en «Issue» para solicitar el certificado.
  11. Una vez emitido el certificado, haz clic en «Certificates» y luego en «View/Download» para descargar el certificado.
  12. Ahora vamos a «Services» y luego en «Services» nuevamente.
  13. Haz clic en «Edit» junto a «HTTPS» y selecciona el certificado recién emitido en el menú desplegable «Server Certificate».
  14. Haz clic en «Save» y luego reinicia el servicio HTTPS para aplicar los cambios.
  15. El certificado SSL ha sido instalado y configurado en pfSense.

Generar un CRON para que ACME renueve automáticamente los certificados

Para generar un cron para autorenovar los certificados de ACME a una determinada hora en pfSense, sigue estos pasos:

  1. Accede a la línea de comandos de pfSense mediante SSH o mediante la opción «Diagnostics» en la interfaz web.
  2. Utiliza el comando «crontab -e» para editar el archivo cron del sistema.
  3. Agrega una nueva línea al archivo cron con el siguiente formato: «0 [hora] [día del mes] * * /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (sin comillas)

Ejemplo: «0 2 * * 1 /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (Este ejemplo renueva el certificado todos los lunes a las 2:00 am)

  1. Guarda y cierra el archivo.

Ahora el cron esta configurado para ejecutar el comando acme-client para renovar los certificados automáticamente en la hora especificada.

Ten en cuenta que es importante asegurarse de que los certificados sean renovados antes de su fecha de expiración, para evitar interrupciones en los servicios que utilizan el certificado.

Recomendación sobre puerto abierto para renovar los certificados de ACME

Ya que se debe de tener el puerto 443 abierto para poder renovar los certificados, recomendamos hacer lo siguiente:

  1. Crear un Schelude para el puerto 443, que solo tenga asignados 15 minutos en la franja que hayamos puesto en el Cron
  2. Crear una regla del Firewall de apertura del puerto 443, y asignarle el Schelude creado en el paso 1
  3. A poder ser usar GEOIP y poner que este puerto solo sea accesible desde USA.

Por que confiar en DCSeguridad

En DCSeguridad ofrecemos servicios de ciberseguridad especialmente enfocados a PYMEs, tales como:

  • Instalación y Mantenimiento de Firewall
  • Concienciación de Usuarios
  • Ciberseguridad Gestionada con nuestro XDR & EDR
  • Instalación y mantenimiento de VPN
  • Backup en la Nube como servicio (SaaS)
  • Análisis de Vulnerabilidades
  • Monitorización de Servicios contratados 24×7

Contacta con nosotros en nuestra sección de contacto y estaremos encantados de ayudarle a implantar y mantener servicios de ciberseguridad.